商用密码应用安全性评估业务
来源:欧宝手机网页版 发布时间:2023-12-21 12:05:41根据《商用密码管理条例》中的定义,商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全。
商用密码具有广泛的应用前景,主要面向不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等数据来进行加密保护。如企业敏感信息的传输与存储加密、防止非法第三方获取数据、安全认证与数字签名等。
国家正在大力推进密码工作,普及密码技术的应用,但我国的商用密码应用仍有极大的发展空间。虽然当前正在积极开展网络安全产品的研发工作,但是还未形成大规模的商品市场,与信息化快速地发展的实际的需求仍存在差距,商用密码在应用的过程中还存在一些问题。
商用密码应用安全性评估(简称“密评”)是指对采用商用密码技术、产品、服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
开展商用密码应用安全性评估是发挥密码作用的必要手段,商用密码应用安全性评估是商用密码检测认证体系建设的重要组成部分,是衡量商用密码应用是否合规、正确、有效的重要抓手。开展商用密码应用安全性评估是维护互联网空间安全、规范商用密码应用的客观要求,是深化商用密码“放管服”改革、加强事中事后监管的重要手段,也是重要领域网络与信息系统运营者和主管部门必须承担的法定责任。
建立商用密码应用安全性评估体系,就为了解决商用密码应用中存在的明显问题,为重要网络与信息系统的安全提供科学评价方法,以评促建、以评促改、以评促用,逐步规范商用密码的使用和管理,从根本上改变商用密码应用不广泛、不规范、不安全的现状,确保商用密码在网络与信息系统中的有效使用,切实构建起坚实可靠的互联网空间安全密码屏障。
商用密码应用安全是整体的、系统的、动态的。密码安全是网络与信息系统安全的前提及核心,构建成体系的、安全有效的密码保障系统,对重要网络与信息系统有效抵御网络攻击具有关键作用和重要意义。密码应用是否合规、正确、有效,涉及密码算法、协议、产品、技术体系、密钥管理、密码应用等多个角度。有必要委托专业机构、专业技术人员,采用专业工具和专业手段,对系统整体的商用密码应用安全进行专项测试和综合评估,形成科学准确的评估结果,以便及时掌握商用密码安全现状,采取必要的技术和管理措施。
《中华人民共和国密码法》(以下简称“《密码法》”)规定,法律、行政法律和国家相关规定要求使用商用密码进行保护的关键基础设施,其运营者应当使用商用密码进行保护,自行或委托商用密码检验测试的机构开展商用密码应用安全性评估。《中华人民共和国网络安全法》(以下简称“《网络安全法》”)也指出,网络运营者应当履行网络安全法保护义务,并明确在网络安全等级保护制度的基础上,对关键基础设施实施重点保护。采取技术措施和其他必要措施,维护网络数据的完整性、保密性和可用性。《网络安全等级保护条例(征求意见稿)》强化密码应用要求,突出密码应用监管,重点面向网络安全等级保护第三级及以上系统,落实密码应用安全性评估制度,因此,针对网络安全等级保护第三级以上系统、关键信息基础设施开展商用密码应用安全性评估,将是网络运营者和主管部门的法定责任。
⑥《国家政务信息化项目建设管理办法》第十五条、第二十五条、第三十条均要求要开展密码应用安全性评估工作;
⑦《商用密码应用安全性评估管理办法(试行)》第二章第十条中标明关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少评估一次。
①GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
⑥GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
关键基础设施信息系统:能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。
重要工业控制管理系统:、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要工业控制系统。
面向社会服务的政务信息系统:党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。
通过开展第三方商用密码应用安全性评估,评估机构依据《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基础要求》(GB/T 39786-2021)、《信息系统密码应用测评要求》(GM/T 0115-2021)、《信息系统密码应用测评过程指南》(GM/T 0116-2021)、《商用密码应用安全性评估测评作业指导书》和系统自身的安全需求分析,发现各信息系统密码应用的薄弱环节和风险,为密码应用安全提供科学评价,提出完善、可行的整改建议。客观、全面、准确地评价各系统密码应用的合规性、正确性和有效性,度量其与密码应用需求的符合性;找出系统密码应用现状与相应等级密码保护要求之间的差距,并分析其密码应用的薄弱环节及面临的安全风险,提供科学的评估报告。梳理、提炼系统密码应用需求;结合系统实际的需求,提出完善、实用、操作性强的整改建议。协助落实整改工作,提升系统整体安全水平。通过商用密码应用安全性评估活动,普及宣贯密码应用政策及标准,提高系统管理人员的密码防护意识、密码应用技术和管理上的水准,推动密码应用工作开展。返回搜狐,查看更加多